2021

Sich 2021-10-26 08:17:28 UTC #1

Hello,

Notre gouvernement ami de la liberté, du respect de la vie privée et de l'anonymat vient de nous sortir un nouveau décret concernant les données à conserver sur les personnes publiant du contenu en ligne...
Cela s'applique aux hébergeurs, FAI, etc...
nota bene : si vous avez un VPS ou un dédié vous êtes de facto hébergeur et concerné par ce décret...

Bref, je donne la source ici : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044228912

J'aimerai un avis de juriste, de pro ou autre...
Je vais essayer de voir avec la chambre des métiers de mon côté si je peux avoir des précisions...

Mais en gros il faut collecter lieu et date de naissance, l'adresse physique, le mail, le téléphone de toute personne pouvant créer du contenu en ligne...
Le webmaster, les utilisateurs qui font des commentaires (comme pour un forum)...

Bref ça va très loin dans la violation de la vie privée.. Les intervenants techniques n'ayant pas à se substituer au juge ou à tenir de tels registres...
Mais bon, "c'est la loi" qu'on nous dit...

Bref, je viens de tomber sur l'info, c'est passé en douceur, sans faire de bruit...
Si quelqu'un a un retour à me faire je prends...

Perso je suis infogérant (juridiquement l'hébergeur c'est le client, pas moi).
Je me contente de récupérer les données "techniques" (adresse ip, date / heure, etc).
Et encore, que pour la partie système, je ne m'occupe pas de ça côté wordpress par exemple...

Mais en dehors du fait que personne ne va appliquer un tel texte (c'est totalement impossible), je ne vois pas trop ce qu'espère le gvt avec de telles mesures...
Ha et rassurez vous, "c'est la police Française"...

Gaston_Phone 2021-10-26 08:33:57 UTC #2

Merci @Sich

On se croirait en chine.

Sich 2021-10-26 08:53:34 UTC #3

Le conseiller juridique de la chambre des métiers est en congés, je dois le rappeler la semaine prochaine.... A voir si il pourra me donner son avis sur tout ça...

[EDIT]
A noter que dans les données techniques viennent de s'ajouter le port client...
Je cite :

A voir si ça concerne les hébergeurs vu que ça concerne je cite :

Difficile de faire + obscur, mais faut pas trop en demander au législateur, déjà qu'il ne comprend pas de quoi il parle...

Ce qui implique, par exemple si vous êtes sur Apache en utilisant le format de log combined, d'ajouter : %{remote}p dans vos logs pour logguer le port client...

Je vais déjà faire cette modif sur tous mes serveurs..
[/EDIT]

TTY 2021-10-26 13:00:20 UTC #4

Merci @Sich.
J'ai pas vue passer ça sur Nextinpact

1° Les nom et prénom, la date et le lieu de naissance ou la raison sociale, ainsi que les nom et prénom, date et lieu de naissance de la personne agissant en son nom lorsque le compte est ouvert au nom d'une personne morale ;

Je comprends que je dois demander la date de naissance de mes clients. Ce que je ne fait pas.
Et donc en fait un simple système de commentaire devrait aussi la demander ?

Il y a l'article 12 aussi :

La contribution à une création de contenu mentionnée au dernier alinéa des articles 5 et 6 du présent décret comprend les opérations portant sur :
1° Des créations initiales de contenus ;
2° Des modifications des contenus et de données liées aux contenus ;
3° Des suppressions de contenus.

Bref faut tout garder, avec toutes les versions si modifs + en cas suppression.
Les dev vont avoir du boulot.... Ha on me dit qu'il n'y en as déjà pas assez.

Edit :
Lien d'intérêt :
https://linuxfr.org/news/les-evolutions-recentes-ou-a-venir-de-la-legislation-francaise-autour-du-numerique-et-d-internet

Fritz2cat 2021-10-26 13:28:24 UTC #5

Ha, on va commencer à demander la date de naissance pour pouvoir poster un commentaire. Je croyais que ça tombait sous le GDPR... et puis ça ne se fait pas, de demander son âge à une jeune fille :-)

Sich 2021-10-26 13:51:43 UTC #6

La RGPD il y disent clairement "si la loi vous le demande, osef"...

Point 40 de la RGPD :

Donc du moment que la loi te le demande, osef de la RGPD et de la vie privée...

Concernant l'enregistrement des modifs, il me semble qu'il faut simplement conserver qui l'a fait (compte utilisateur), l'ip, etc...
Mais par exemple c'est ingérable sur un CMS ou forum...
Car il faudrait "tagguer" le message comme supprimé, mais le conserver dans la bdd...

Parce que je doute que lorsque l'on delete un article par exemple on trouve un beau log avec avec action=delete&postid=xxx&userid=xxx, ça serait trop beau...

Bref, encore une loi qui n'est pas applicable, qui ne sera pas appliquée, mais qui rajoute une couche d'insécurité juridique à bon nombres d'acteurs du web...
Favorisant ainsi que les grosses structures qui ont les moyens d'avoir un service juridique à la hauteur, et pouvant adapter leurs applis pour répondre aux nouvelles lois...

[EDIT]
Moi de mon côté ce que j'en comprends, c'est qu'on nous rajoute la couche identité réelle (date et lieu de naissance, adresse physique, tel, mail).
Là où avant on arrivait à s'en sortir avec un identifiant, une IP et basta.
Le problème dans tout ça c'est qu'il est totalement impossible d'exiger toutes ces données, car personne ne les donnera, donnera des fausses infos etc...
Donc on a la charge de vérifier qu'elles sont ok ?
On a la responsabilité de la sécurité de ces données !
Une fuite de données sur un login pass, bon, c'est pas top mais ça va...
Une fuite de données avec date et lieu de naissance, téléphone, adresse postale c'est moins fun déjà...
Et qui n'a jamais eu un wordpress piraté ou un compte FTP crée par un user avec un mot de passe bidon...
[/EDIT]

TTY 2021-10-26 14:17:46 UTC #7

Tu as bien résumé les choses.

C'est tout à fait le pb.
Ils sont hors sol, c'est pas nouveau. Heureusement que la justice (les juges) à encore un peu de bon sens.

Sich 2021-10-26 14:35:10 UTC #8

Et dans tout ça, je suis à mon compte depuis + de 10 ans, j'ai eu une seule réquisition judiciaire........
Mais le jour où ça tombe faut pouvoir apporter les éléments demandé....

On s'emm.... à éplucher les textes, être en conformité, pour peut être ne jamais avoir à fournir quoi que ce soit.... ça fait des heures de tafs qu'on ne peut pas facturer et un risque supplémentaire (fuite de données en cas de hack, risque juridique, etc) ...

Tout ça pour pas gagner 1cts de +...
Et aller expliquer au client qu'on doit respecter tout un tas de textes "au cas où", quand il héberge le site d'une paroisse ou des sites "poubelles" de SEO qui ne servent qu'à "attirer" les bots Google c'est pas facile...

TTY 2021-10-26 14:52:52 UTC #9

15 ème année à mon compte sans avoir trop de problème, je croise les doigts :)

Après, c'est sur que plus ça va plus l’excès de réglementation nous met en danger.
Il nous faudrait une sorte de syndicat pour nous mâcher le travail et nous protéger en cas de problème.

Perso je n'ai toujours pas digérer toutes les subtilitées du RGPD.
En fait cela m'ennuie toute cette partie réglementaire. Je suis pas juriste moi.
Vivement la retraite.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.